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Mobile agent authorization method for use in a 
communications network, whereby an authorization authority 
processes an authorization request and generates authorization 
data so that the agent can access a service 
WO2003088012-A1 
23 . 10 .2003 

NOVELTY - Method for authorization of a mobile agent in a 
communications network to access a service offered in the 
communications network, where the agent is an independent, 
autonomous computer program used to access said service. An 
authorization request is made to an authorization authority in 
the communications network, which authorizes access of the 
mobile agent to the service. The request is verified by the 
authority, which generates authorization data accordingly. The 
data is furnished to the agent to allow it to access the 
service. DETAILED DESCRIPTION - The invention also relates to a 
corresponding authorization arrangement and computer program 
product.,* USE - Authorization of a mobile agent in a 
communications network, e.g. for use in providing tickets 
online. ADVANTAGE - A finely granulated system and task 
specific authorization of agents can be implemented in a simple 
fashion. DESCRIPTION OF DRAWING (S) - The figure shows 
authorization of an agent according to the invention. The 
system shown is for an online ticket server to which agents or 
users connect for the issuing of a service, in this case a 
ticket . 
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® Die Erfindung betrifft eine Autorisierung eines mobilen 
Agenten in einem Kommunikationsnetz fur einen in dem 
Kommunikationsnetz angebotenen Dienst. Dabei wird an 
eine Autorisierungsinstanz in dem Kommunikationsnetz 
eine Autorisierungsanfrage zur Autorisierung des mobi- 
len Agenten fur den Dienst gestellt. Die Autorisierungsan- 
frage wird von der Autorisierungsinstanz Uberpruft. An- 
schlieBend werden Autorisierungsdaten dann von der 
Autorisierungsinstanz erzeugt, wenn die Uberprufung 
eine Berechtigung des mobilen Agenten fur den Dienst 
anzeigt, welche Autorisierungsdaten den mobilen Agen- 
ten fur den Dienst autorisieren und mit welchen der mo- 
bile Agent ausstattbar ist. 
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Beschreibung 

[0001] Die Erfindung betrifft eine Autorisierung eines 
mobilen Agenten in einem Kommunikationsnetz fur einen 
in dem Kommunikationsnetz angebotenen Dienst. 5 
[0002] Mobile Agenten sind aus [1] bekannt. 
[0003] Mobile Agenten sind selbststandig agierende 
Computerprogramme, die autonom, zielgerichtet und ar- 
beitsteilig im Auftrag einer Person oder Organisation (Auto- 
ritat) Auftrage ausfuhren. Dabei sind sie autorisiert, in Na- 10 
men der Autoritat Entscheidungen zu treffen. 
[0004] Mobile Agenten sind mobil, d. h. sie konnen wah- 
rend ihrer Lebenszyklen ihre jeweilige Ausfuhrungsumge- 
bung andem, beispielsweise dadurch, dass sie in Kommuni- 
kationsnetzen von einem Kommunikauonsgerat zu einem 15 
zweiten Kommunikationsgerat migrieren. 
[0005] Mobile Agenten werden von Agentenplattformen 
bzw. in Agentensystemen erzeugt, welche ncben der Agen- 
tencrzeugung die Agenten interpretieren, ausfuhren, iiber- 
tragen und terminieren sowie Verbindungen zwischen Auto- 20 
ritaten und Agenten sowie zwischen Agenten herstellen. 
[0006] Ferner werden von Agentenplattformen und/oder 
in Agentensystemen Dienste fur die Autoritaten bzw. fur die 
die Autoritaten vertretenden Agenten angeboten, wie Infor- 
mationsdienste, elektronische Marktplatze oder elektroni- 25 
sche Finanzdienstleistungen. 

[0007] Diese Dienste sind einerseits offentlich zugang- 
lich, d. h. alle Autoritaten konnen diese Dienste mittels der 
sie vertretenden Agenten in Anspruch nehmen. 
[0008] Andererseits werden auch Dienste angeboten, die 30 
nur einer geschlossenen Benutzergruppe, d. h. nur entspre- 
chend berechtigten Autoritaten bzw. deren Agenten, zu- 
ganglich sind. 

[0009] Fiir den Zugriff auf solche meist kostenpflichtigen, 
geschiitzten Dienste miissen die Agenten als Stellvertreter 35 
ihrer Autoritaten autorisiert werden. 

[0010] Bei der Autorisierung eines Agenten wird zwi- 
schen einer grob granularen und einer fein granularen Auto- 
risierung u n terse hieden. 

[0011] Unter fein granular ist eine Einschrankung der Zu- 40 
griffsrechte der Agenten auf die Dienste im Hinblick auf 
z. B. Umfang, Zeitdauer, Zeitpunkt und/oder Funktionalitat 
zu verstehen. Dadurch, dass ein Agent bei der fein granula- 
ren Autorisierung nur solche Zugriffsrechte erhalt bzw. nur 
fiir solche Zugriffsrechte autorisiert wird, welche fiir die auf 45 
ihn ubertragene Aufgabe notwendig sind, wird ein mogli- 
cher Missbrauch von Agenten fur andere Aufgaben einge- 
schrankt. 

[0012] Im Gegensatz dazu erhalt ein Agent bei einer grob 
granularen Autorisierung Zugriffsrechte uneingeschrankt. 50 
[0013] Eine grob granulare Autorisierung ist aus [2], einer 
Agentenplattform SeMoA®, bekannt. 

[0014] Bei der Agentenplattform SeMoA® authentifizie- 
ren sich Agenten durch eine eindeutige und nicht manipu- 
lierbare ID. Solche IDs sind durch kryptographische Verfah- 55 
ren direkt an die Autoritaten der Agenten gebunden, d. h. ein 
Agent verfugt Liber die gesamte Rechtemenge seiner jewei- 
ligen Autoritat. 

[0015] Aus [3], einer Agentenplattform Ajanta, ist eine 
fein granulare Autorisierung bekannt. 60 
[0016] Bei der Agentenplattform Ajanta erfolgt die fein 
granulare Autorisierung eines Agenten durch die entspre- 
chende Autoritat des Agenten selbst, was einen sogenann- 
ten, zusatzlichen Policy-Abgleich, d. h. eine tjberprufung 
der Zugriffsrechte unter ubergeordneten Gesichtspunkten 65 
(Policy), beim Dienstanbieter erfordert. 
[0017] Dariiber hinaus wird durch diese Vorgehensweise 
der Autorisierung bei [3] cine Ubertragung von Rechten von 
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einem autorisierten Agenten auf einen anderen Agenten 
(Delegation) erschwert, weil dabei sogenannte Attributsket- 
ten, auch bekannt aus [6], welche die Obertragung nach- 
zeichnen, zu biiden sind. 

[0018] Eine Delegation ermoglicht, Teilaufgaben auch 
von zweiten Agenten, welche im Auftrag der urspriinglich 
autorisierten, ersten Agenten handeln, ausfuhren zu lassen. 
Diese zweiten Agenten konnen auch Agenten anderer Auto- 
ritaten sein. 

[0019] Zu berucksichtigende Sicherheitsaspekte bei den 
mobilen Agenten erfordem auBerdem, dass mobile Agenten 
kein privates bzw. geheimes SchlUsselmaterial mit sich fuh- 
ren diirfen. Sie sind somit nicht in der Lage, auf entfemten 
Agentenplattformen kryptographische Operationen mit sol- 
chen Sch! Ossein durchzufuhren. 

[0020] Aus [4] ist eine Autorisierung, ein sogenannter 
"Kerberos Network Authentication Service", zur Autorisie- 
rung eines Client durch einen Server in einer Client/Server- 
Umgebung bekannt. 

[0021] Die Autorisierung bei dem "Kerberos Network 
Authentication Service" erfolgt unter Verwendung von Au- 
then Li fika lions- und Autorisierungsprotokollen und beruht 
darauf, dass eine kryptographische Operation mit privaten 
bzw. geheimen Schlusseln notwendig ist. 
[0022] Somit liegt der Erfindung die Aufgabe zugrunde, 
eine fein granulare und aufgabenspezifische Autorisierung 
eines Agenten auf einfache Weise zu ermoglichen. Dariiber 
hinaus soil die Erfindung es ermoglichen, auf einfache 
Weise Zugriffsrechte von einem ersten Agenten auf einen 
zweiten Agenten zu delegieren. 

[0023] Diese Aufgaben werden durch das Verfahren und 
die Anordnung sowie durch das Computerprogramm mit 
Programmcode-Mitteln und das Computerprogramm-Pro- 
dukt zur Autorisierung eines mobilen Agenten in einem 
Kommunikationsnetz mit den Merkmalen gemaB dem je- 
weiligen unabhangigen Patentanspruch gelost. 
[0024] Bei dem Verfahren zur Autorisierung eines mobi- 
len Agenten in einem Kommunikationsnetz fur einen in dem 
Kommunikationsnetz angebotenen Dienst werden 

a) an eine Autorisierungsinstanz in dem Kommunika- 
tionsnetz eine Autorisierungsanfrage zur Autorisierung 
des mobilen Agenten fur den Dienst gestellt, 

b) die Autorisierungsanfrage von der Autorisierungs- 
instanz iiberpruft und 

c) Autorisierungsdaten dann von der Autorisierungs- 
instanz erzeugt, wenn die Uberpriifung eine Berechti- 
gung des mobilen Agenten fiir den Dienst anzeigt, wel- 
che Autorisierungsdaten den mobilen Agenten fur den 
Dienst autorisieren und mit welchen der mobile Agent 
ausstattbar ist. 

[0025] Die Anordnung zur Autorisierung eines mobilen 
Agenten in einem Kommunikationsnetz fiir einen in dem 
Kommunikationsnetz angebotenen Dienst ist derart einge- 
richtet, dass 

- an sie cine Autorisierungsanfrage zur Autorisierung 
des mobilen Agenten fiir den Dienst stellbar ist, 

- durch sie die Autorisierungsanfrage uberpriifbar ist 
und dann, wenn die Oberprufung eine Berechtigung 
des mobilen Agenten fur den Dienst anzeigt, Autorisie- 
rungsdaten erzeugbar sind, welche den mobilen Agen- 
ten fiir den Dienst autorisieren und mit welchen der 
mobile Agent ausstattbar ist. 

[0026] Das Computerprogramm mit Programmcode-Mit- 
teln ist eingerichtet, um alle Schrittc gemaB dem erfindungs- 
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gemaBen Verfahren durchzufuhren, wenn das Programm auf 
einem Computer ausgefuhrt wird. 

[0027] Das Computerprogramm-Produkt mil auf einem 
maschinenlesbaren Trager gespeicherten Programmcode- 
Mitteln ist eingerichtet, um alle Schritte gemaB dem erfin- 5 
dungsgemaBen Verfahren durchzufuhren, wenn das Pro- 
gramm auf einem Computer ausgefuhrt wird. 
[0028] Die Anordnung sowie das Computerprogramm mit 
Programmcode-Mitteln, eingerichtet um alle Schritte gemaB 
dem erfinderischen Verfahren durchzufuhren, wenn das Pro- to 
gramm auf einem Computer ausgefuhrt wird, sowie das 
Computerprogramm-Produkt mit auf einem maschinenles- 
baren Trager gespeicherten Programmcode-Mitteln, einge- 
richtet um alle Schritte gemaB dem erfinderischen Verfahren 
durchzufuhren, wenn das Programm auf einem Computer 15 
ausgefuhrt wird, sind insbesondere geeignet zur Durchfuh- 
rung des erfindungsgemaBen Verfahrens oder einer seiner 
nachfolgend erlauterten Weiterbildungen. 
10029] Der Erfindung liegt der Grundgedanke zugrunde, 
Prinzipien des CUent/Server-Umfelds in nicht trivialer 20 
Weise in einen Kontext mobiler Agentensysteme zu portie- 
ren, diese entsprechend dem neuen Umfeld anzupassen und 
dabei bei mobilen Agentensystemen vorhandene Mechanis- 
men von Agentenplattformen, wie Authenufikationsverfah- 
ren zur eindeutigen und nicht manipulierbaren Authentifika- 25 
tion von mobilen Agenten, in nicht trivialer Weise mit den 
Prinzipien zu kombinieren und sie zu nutzen. 
[0030] Dabei ist ein grundlegender Gedanke der Erfin- 
dung, die Autorisierung von Agenten durch sogenannte Au- 
torisierungsdaten zu realisieren. Diese werden bei der Erfin- 30 
dung von einer zentralen Instanz, der Autorisierungsinstanz, 
ausgestellt und sind auf eindeutige Weise dem jeweiligen 
Agenten zugeordnet. 

[0031] Die Autorisierungsdaten enthalten die Informatio- 
nen fur die fein granulare und aufgabenspezifische Autori- 35 
sierung, wobei auch ubergeordnete, globale Gesichtpunkte, 
eine sogenannte Policy, zentral beriicksichtigt werden kann. 
[0032] Gerade dadurch, dass die Autorisierungsdaten von 
einer zentralen Instanz und eben nicht lokal ausgestellt wer- 
den, d. h. von einer Autoritat, welche den mobilen Agenten 40 
in der Regel erzeugt, konnen zentral bzw. auf ubergeordne- 
ter Ebene globale Gesichtspunkte bzw. Randbedingungen 
(Policy), wie bestimmte globale Einschrankungen von Zu- 
griffsrechten, beriicksichtigt werden. 

[0033] Agenten erhalten somit bei der Erfindung in Form 45 
der jeweiligen Autorisierungsdaten nur diejenigen Rechte, 
die tatsachlich zur Ausfiihrung der an sie gestellten Aufgabe 
notwendig sind. 

[0034] Durch diesen Ansatz wird die Moglichkeit mini- 
miert, dass ein Agent eine andere als diejenige durchfuhrt, 50 
fiir die er von seiner Autoritat instruiert wurde. 
[0035] Weiterhin ermoglich die Erfindung, dass Agenten 
ihre Rechte oder auch nur eine Teilmenge ihrer Rechte an 
andere Agenten delegieren konnen. Rechte konnen sowohl 
an Agenten derselben Autoritat als auch an Agenten anderer 55 
Autoritaten delegiert werden. 

[0036] Bevorzugte Weiterbildungen der Erfindung erge- 

ben sich aus den abhangigen Anspriichen. 

[0037] Die im weiteren beschriebenen Weiterbildungen 

beziehen sich sowohl auf die Verfahren als auch auf die An- 60 

ordnung. 

[0038] Die Erfindung und die im weiteren beschriebenen 
Weiterbildungen konnen sowohl in Software als auch in 
Hardware, beispiels weise unter Verwendung einer speziel- 
len elektrischen Schaltung, realisiert werden. 65 
[0039] Femer ist eine Realisierung der Erfindung oder ei- 
ner im weiteren beschriebenen Weiterbildung moglich 
durch ein computerlesbarcs Spcichermcdium, auf welchem 
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das Computerprogramm mit Programmcode-Mitteln gespei- 
chert ist, welches die Erfindung oder Weiterbildung aus- 
fuhrt 

[0040] Auch kann die Erfindung oder jede im weiteren be- 
schriebene Weiterbildung durch ein Computerprogrammer- 
zeugnis realisiert sein, welches ein Speichermedium auf- 
weist, auf welchem das Computerprogramm mit Programm- 
code-Mitteln gespeichert ist, welches die Erfindung oder 
Weiterbildung ausfuhrt. 

[0041] Zur Spezifizierung der Autorisierung des mobilen 
Agenten ist es zweckmaBig, dass die Autorisierungsdaten 
mindestens eine der folgenden Informationen enthalten: 

- eine Giiltigkeitsdauer, wie lange die Autorisierung 
gultig ist, 

- eine Autorisierungsinformation, welche den Dienst 
kennzeichnet, insbesondere einen Umfang des Dien- 
stes, einen Anbicter des Dienstes, eine Lokalisierungs- 
in form at ion des Anbieters des Dienstes, 

- eine Agenteninformation, welche den mobilen 
Agenten, welcher fur den Dienst autorisiert wurde, be- 
zeichnet (Agenten-ID). 

[0042] Derartige Autorisierungsdaten ermog lichen eine 
eindeutige Verknupfung zwischen klar definierten Zugriffs- 
rechten und dem entsprechend autorisierten mobilen Agen- 
ten. Dadurch werden Manipulationsmoglichkeiten einge- 
schrankt. 

[0043] Ferner kann die Sicherheit vor Manipulation und 
Missbrauch auch dadurch erhoht werden, dass die Autorisie- 
rungsanfrage und/oder die Autorisierungsdaten unter Ver- 
wendung eines kryptographischen Verfahrens/kryptischer 
Verfahren, wie eine digitale Signatur, geschiitzt werden. 
Verwendbare kryptographische Verfahren sind in [5] be- 
schrieben. 

[0044] Des weiteren ist es sinnvoll, eine Kommunikation 
bzw. einen Datenaustausch zwischen der Autorisierungsin- 
stanz und dem mobilen Agenten durch einen Ticketdienst 
abzuwickeln. Dadurch las sen sich cinzelne klar struktu- 
rierte, funktionelle Module bzw. Komponenten, beispiels- 
weise durch entsprechend eingerichtete Server, realisieren. 
[0045] So ware dementsprechend die Funktion eines sol- 
chen Hcketdienstes das Stellen der Anfrage an die Autori- 
sierungsinstanz, das Empfangen und Weiterreichen der Au- 
torisierungsdaten an den mobilen Agenten. Auch zusatzli- 
che Aufgaben bei Agentenplattformen und/oder Agentensy- 
stemen kann ein solcher Ticketdienst iibernehmen, wie eine 
Authentifikationsprufung des mobilen Agenten und/oder 
eine Authentifikationsprufung der Autorisierungsinstanz. 
[0046] Auch ist es moglich, den Ticketdienst und die Aut- 
horisierungsinstanz in einer Instanz zu integrieren. 
[0047] Auch ist es sinnvoll, die Autorisierungsdaten in ei- 
nem Ticket zusammenzufassen. Grundzuge einer Ticket- 
technik sind aus [4] bekannt. 

[0048] Das Ticket kann durch kryptographische Verfahren 
[5] vor Missbrauch und Manipulationen geschutzt werden. 
Eine Verknupfung des auf einen mobilen Agenten ausge- 
stelltcn Tickets mit diescm wird durch die Authcntifikation 
des mobilen Agenten gewahrleistet. 

[0049] Ist nun der mobile Agent mit dem Ticket ausgestat- 
tet, so migriert er innerhalb des Kommunikationsnetzes, 
dorthin, wo der von ihm nachzufragende Dienst, beispiels- 
weise ein Reisedienst oder ein Einkaufsdienst, bzw. der ent- 
sprechende Dienstanbieter lokalisiert ist. Dort wird der mo- 
bile Agent authentifiziert. Beim Versuch des Zugriffs auf 
den Dienst muss der mobile Agent seine Legitimation be- 
weiscn, was durch tJbergabe des Tickets an den Dienstan- 
bieter und die Uberprufung des Tickets und der dort nieder- 
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gelegten Berechtigung durch den Dienstanbieter erfolgt 
[0050] In einem solchen Rechnemelz sind in der Regel 
der Dienstanbieter, die Autorisierungsinstanz sowie der Hk- 
ketdienst durch Server realisiert. 

[0051] Ein mobile Agent selbst wind in der Regel dann er- 5 
zeugt, wenn ein Kommunikationsteilnehmer in dem Kom- 
munikationsnetz einen dort angebotenen Dienst in Anspruch 
nehmen mochte. 

[0052] In einer Weiterbildung stellt der mobile Agent die 
Autorisierungsanfrage fur sich selbst, d. h. er selbst mochte io 
auf ihn ausgestellte und ihn autorisierende Autorisierungs- 
daten haben. 

[0053] Alternativ ist es auch moglich, dass ein anderer, 
zweiter autorisierter mobiler Agent die Autorisierungsan- 
frage fur den ersten mobilen Agenten stellt. Die Autorisie- 15 
rungsdaten werden dann auf Basis der Autorisierung des an- 
deren, zweiten mobilen Agenten fur den ersten mobilen 
Agenten ausgestcllt. Der erste mobile Agent erhalt anschlie- 
Bend direkt oder indirekt von dem anderen, zweiten mobilen 
Agenten die auf ihn ausgestellten Autorisierungsdaten. 20 
[0054] Diese Vorgehensweise eignet sich insbesondere zu 
einer Obertragung von Autorisierungen, was als Delegation 
bezeichnet wird. 

[0055] In diesem Fall ware bei obiger Vorgehensweise der 
andere, zweite mobile Agent ein sogenannter Delegations- 25 
agent. Er delegiert seine urspriingliche Autorisierung, d. h. 
seine urspriinglichen Rechte, an den ersten mobilen Agen- 
ten. 

[0056] Im Detail kann eine solche Delegation derart reali- 
siert werden: 30 

- der Delegationsagent ist durch urspriingliche Autori- 
sierungsdaten urspriinglich fiir den Dienst autorisiert, 

- der Delegationsagent stellt die Autorisierungsan- 
frage fur den mobilen Agenten, durch welche die Auto- 35 
risierungsdaten fiir den mobilen Agenten unter Ver- 
wendung der urspriinglichen Autorisierungsdaten er- 
zeugt werden, 

- der mobile Agent wird mit den Autorisierungsdaten 
ausgestattet, wobei die urspriinglichen Autorisierung 40 
des Delegationsagenten auf den mobilen Agenten iiber- 
tragen wird. 

[0057] In Figuren sind Ausfuhrungsbeispiele der Erfin- 
dung dargestellt, welche im weiteren naher erlautert werden. 45 
[0058] Es zeigen 

[0059] Fig. 1 Autorisierung eines mobilen Agenten ge- 
maB einem ersten Ausfuhrungsbei spiel; 
[0060] Fig. 2 Autorisierung eines zweiten mobilen Agen- 
ten durch Ubertragung einer Autorisierung von einem ersten 50 
autorisierten Agenten auf den zweiten mobilen Agenten ge- 
maB einem zweiten Ausfuhrungsbeispiel. 
[0061] Erstes Ausfuhrungsbeispiel: Autorisierung eines 
mobilen Agenten in einem A gen ten system In Fig. 1 ist ein 
Ausschnitt eines Rechnernetzes 100 mit mehreren miteinan- 55 
der vemetzten Servern 101, 102, 103, auf welchen ein 
Agentensystem mit entsprechend eingerichteten Agenten- 
plattformen impiementiert ist, dargestellt. 
[0062] Grundlegende Netz- und Servertechniken sowie 
Agentenplattformen sind allgemein bekannt. 60 
[0063] Fig. 1 zeigt einen Server 101 eines Dienstanbieters 
S (Agentenserver S 101), welcher einen zugangsbeschrank- 
ten und kostenpflichtigen Dienst SD 104, in diesem Fall ei- 
nen Reisebuchungsdienst, anbietet. 

[0064] Fig. 1 zeigt ferner einen Server 102 (Agentenser- 65 
ver User Ul 102) eines Benutzers Ul (User Ul). Auf dem 
Agentenserver User Ul 102 ist ein Ticket Dienst (TD1) 107, 
ein entsprechend programmiertes Computerprogramm, im- 
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piemen tiert, mittels welchem ZugrifFsrechte in Form von so- 
genannten Tickets 105 auf Dienste in dem Rechnernetz 100 
erlangbar sind. 

[0065] Auch zeigt Fig. 1 einen Ticket Granting Server 
103, welcher Autorisierungszertifikate, die sogenannten 
Tickets 105, fiir mobile Agenten des Agentensystems, wie 
Agent A 1 106, ausstellt 

[0066] Grundzuge einer Tickettechnik sind in [4] be- 
schrieben. 

[0067] Ein von dem Ticket Granting Server 103 ausge- 
stelltes Ticket 105 ist auf eindeutige Weise demjenigen 
Agenten, beispielsweise dem Agenten Al 106, zugeordnet, 
fur den es ausgestellt wird. Es definiert das dem Agenten zu- 
gestandene Recht Dazu enthalt das Ticket 105 entspre- 
chende Autorisierungsdaten. Die Autorisierungsdaten set- 
zen sich zusammen aus einer Agenten ED, einer Gultigkeits- 
dauer des Hckes 105, einer Angabe, wo und wie es einzulo- 
sen ist, sowie aus einer Beschreibung des konkreten zuge- 
s tan dene Rechts. 

[0068] Das Ticket 105 ist dariiber hinaus durch eine digi- 
tate Signatur vor Missbrauch und Manipulationen geschiitzt. 
[0069] In Fig. 1 dargestellte Pfeile 0 bis 6 kennzeichnen 
die bei einer Nachfrage nach dem Dienstes SD 104 ab- 
laufenden Schritte 0 bis 6. 

0. Der User (Ul) mochte eine Reise buchen und will 
dazu den Dienst (SD) 104 im Rechnernetz 100 in An- 
spruch nehmen. Er greift iiber s einem Agentenserver 
User (Ul) 192 auf den Dienst (SD) 104 des Agenten- 
servers (S) 101 zu und startet bzw. erzeugt hierfur auf 
seiner Agentenplattform den Agenten (Al), der als 
Steilvertreter von Ul agiert. 

Da der Dienst (SD) 104 zugangsbeschrankt, weil ko- 
stenpflichtig, ist, muss der Agent Al 106 entsprechend 
autorisiert sein. 

1. Der Agent Al 106 fordert bei dem Ticket-Dienst 
(TD1) 107 des Agentenserver User (U 1) 102 ein Ticket 
(Tl) 105 fur den Zugriff auf den Dienst SD 104 an. Der 
Ticket-Dienst TD 1 107 ermittclt die eindeutige Identi- 
tat von Al. 

2. Ticket-Dienst TDI 107 fordert bei einer zentralen 
Instanz, dem Ticket-Grand ng-Server (TGS) 103, das 
Ticket 105 fur den Agenten Al 106 an (Ticket Re- 
quest). 

Hierfur wird dem Ticket-Granting-Server (TGS) 103 
die eindeutige Identitat vom Agenten Al 106 mitge- 
teilt. Auch die Authentizitat des Users Ul wird tiber- 
priift. 

AnschlieBend priift der Ticket-Granting-Server (TGS) 
103 anhand von gespeicherten Benutzerrechten, wel- 
che Rechte er dem Agenten Al 106 als Steilvertreter 
des Users Ul ausstellen darf und gleicht diese mil sei- 
ner iibergeordneten Policy ab. Dann stellt er das ent- 
sprechende Ticket 105 fiir den Agenten Al 106 aus. 
Der Ticket-Request ist durch kryptographische Opera- 
tionen geschiitzt. 

3. Der Ticket-Granting-Server (TGS) 103 ubergibt das 
fiir den Agenten Al 106 ausgestellte Ticket 105 an den 
Ticket-Dienst TDI 107 (Ticket Reply). 

Der Ticket-Reply ist ebenfalls durch kryptographische 
Operationen geschiitzt. Die Authentizitat von TGS 103 
wird ebenfalls uberpruft. 

4. Der Agent Al 106 bekommt vom Ticket-Dienst 
TDI 107 das Ticket 105. 

5. Der Agent Al 106 migriert zum Agentenserver S 
101. Beim Betreten der Agentenplattform des Agen- 
tenservers S 101 wird der Agent Al 106 cindcutig und 
nicht manipulierbar authentifiziert. 
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6. Der Agent Al 106 mochte auf den Dienst SD 104 
zugreifen und ubergibt das Ticket 105. Der Dienst SD 
104 uberpriift die Gultigkeit des Tickets 105 und fuhrt 
den Zugriff gemaB den im Ticket 105 gespeicherten 
Rechten aus. 5 

[0070] Zweites Ausfiihrungsbeispiel: Autorisierung eines 
mobilen Agenten A2 durch Delegation durch den mobilen 
Agenten A 1 106 in dem Agentensystem (Fig. 2) 
[0071] Das zweite Ausfiihrungsbeispiel beschreibt zusam- io 
men mi it Fig. 2 eine Delegation eines zweiten mobilen 
Agenten A2 201 durch den mobilen Agenten Al 106. 
[0072] Ohne Beschrankung der Allgemeinheit ist der 
zweite Agent A2 201 einem anderen Benutzer als User Ul 
zugehorig. 15 
[0073] Die in Fig. 2 dargestellten Pfeile 1 bis 8 kennzeich- 
nen die bei der Delegation (der Nachfrage nach dem Dien- 
stes SD 104) ablaufenden Schritte 1 bis 8. 
[0074] Ausgangssituation bei der nachfolgend beschrie- 
ben Delegation ist, dass der Agent Al 106 im Besitz des auf 20 
ihn ausgestellten Tickets 105 ist. Des weiteren befindet sich 
der Agent Al 106 auf der Agentenplattform des Agenten- 
servers S 101. Auf dieses befindet sich ebenfalls der Agent 
A2 201. 

25 

1 . Agent A 1 106 migriert zum Agentenserver User U 1 
102. Beim Betreten der Agentenplattform wird der 
Agent Al 106 eindeutig und nicht manipulierbar au- 
thenufiziert. 

2. Der Agent Al 106 fordert beim Ticket-Dienst TD1 30 
107 ein Ticket (T2) 202 fur den Agenten A2 201 an. 
Der Ticket-Dienst TD1 107 ermittelt die eindeutige 
Identitat voin Agenten Al 106. 

3. Der Ticket-Dienst TDI 107 fordert bei dem Ticket- 
Granting-Server (TGS) 103 das Ticket 202 fur den 35 
Agenten A2 201 an Ticket Request). 

Hierfiir wird dem Ticket Granting Server TGS 103 die 
eindeutige Identitat von Agent Al 106 und von Agent 
A2 201 mitgeteilt. Auch die Authentizitat des Users Ul 
wird wieder uberpriift. 40 
Der Ticket Granting Server TGS 103 pruft dann in ana- 
loger Weise wie zuvor beim Agenten Al 106, welche 
Rechte dem Agenten A2 202 zugestanden werden kon- 
nen. 

Das Ticket 105 von Agent Al 106 wird als Basis fur 45 
das Ticket 202 von Agent A2 201 herangezogen. 
Der Ticket-Request ist durch kryptographische Opera- 
tionen geschiitzt. 

4. Der Ticket Granting Server TGS 103 ubergibt das 
fur den Agenten A2 201 ausgestellte Ticket 202 an den 50 
Ticket Dienst TDI 107 (Ticket Reply). 

Der Ticket-Reply ist ebenfalls durch kryptographische 
Operationen geschutzt. Auch die Authentizitat des Tik- 
ket Granting Servers TGS 103 wird uberpriift. 

5. Der Agent Al 106 bekommt vom Ticket-Dienst 55 
TDI 107 das Ticket 202. 

6. Der Agent Al 106 migriert zum Agentenserver S 
101. Beim Betreten der Agentenplattform des Agen- 
tenservers S 101 wird der Agent Al 106 eindeutig und 
nicht manipulierbar authentifiziert. 60 

7. Der Agent Al 106 ubergibt das Ticket 201 an den 
Agenten A2 201. 

8. Der Agent A2 201 greift auf den Dienst SD 104 zu 
und ubergibt das Ticket 202. Der Dienst SD 104 iiber- 
pruft die Gultigkeit des Tickets 202 und fuhrt den Zu- 65 
griff gemaB den im Ticket 202 gespeicherten Rechten 
aus. 
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Patentanspriiche 

1 . Verfahren zur Autorisierung eines mobilen Agenten 
in einem Kommunikationsnetz fur einen in dem Kom- 
munikationsnetz angebotenen Dienst, bei dem 

a) an eine Autorisierungsinstanz in dem Kommu- 
nikationsnetz eine Autorisierungsanfrage zur Au- 
torisierung des mobilen Agenten fur den Dienst 
gesteUt wird, 

b) die Autorisierungsinstanz die Autorisierungs- 
anfrage uberpriift und 

c) die Autorisierungsinstanz, wenn die Oberprii- 
fung cine Berechtigung des mobilen Agenten fur 
den Dienst (bzw. mindestens eines Teils des Dien- 
stes) anzeigt, Autorisierungsdaten erzeugt, welche 
den mobilen Agenten fur den Dienst autorisieren 
und mit welchen der mobile Agent ausstattbar ist, 
andernfalls die Autorisierungsinstanz keine Auto- 
risierungsdaten erzeugt. 

2. Verfahren nach Anspruch 1, bei dem die Autorisie- 
rungsdaten mindestens eine der folgenden Informatio- 
nen en thai ten: 

- eine Gultigkeitsdauer, wie lange die Autorisie- 
rung giiltig ist, 

- eine Autorisierungsinformation, welche den 
Dienst kennzeichnet, insbesondere einen Umfang 
des Dienstes, einen Anbieter des Dienstes, eine 
Lokalisierungsinformation des Anbieters des 
Dienstes, 

- eine Agenteninformation, welche den mobilen 
Agenten, welcher fur den Dienst autorisiert 
wurde, bezeichnet (Agenten-ID). 

3. Verfahren nach Anspruch 1 oder 2, bei dem die Au- 
torisierungsanfrage und/oder die Autorisierungsdaten 
unter Verwendung eines kryptographischen Verfah- 
rens/kryptischer Verfahren geschutzt werden. 

4. Verfahren nach Anspruch 3, bei dem die Autorisie- 
rungsdaten mit einer digitalen Signatur versehen wer- 
den. 

5. Verfahren nach einem der vorangehenden Ansprii- 
che, bei dem die Autorisierungsanfrage von einem Tik- 
ketdienst bei der Autorisierungsinstanz gestellt wird, 
welcher Tlcketdienst den mobilen Agenten mit einem 
Ticket, welches die Autorisierungsdaten enthalt, aus- 
stattet. 

6. Verfahren nach einem der vorangehenden Ansprii- 
che, bei dem der Agent unter Verwendung der Autori- 
sierungsdaten bei einem Dienstanbieter um den Dienst 
nachfragt. 

7. Verfahren nach einem der vorangehenden Ansprii- 
che, bei dem das Kommunikationsnetz ein verteiltes 
Rechnernetz ist, wobei die Autorisierungsinstanz ein 
Serverrcchner in dem verteilten Rechnernetz ist. 
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8. Verfahren nach einem der vorangehenden Ansprii- 
chen, bei dem ein Kommunikaiionsteilnehmer in dem 
Kommunikationsnetz den Dienst in Anspruch nehmen 
mochte und dabei den mobilen Agenten erzeugt. 

9. Verfahren nach einem der vorangehenden Anspru- 5 
che, bei dem der mobile Agent die Autorisierungsan- 
frage stellt. 

10. Verfahren nach einem der Anspruche 1 bis 8, bei 
dem ein Delegationsagent die Autorisierungsanfrage 
fur den mobilen Agenten stellt. to 

11. Verfahren nach Anspruch 10, eingesetzt zur Ober- 
tragung einer urspriinglichen Autorisierung des Dele- 
gationsagenten fur den Dienst auf den mobilen Agen- 
ten, 

wobei der Delegationsagent durch ursprungliche Auto- 15 
risierungsdaten ursprunglich fur den Dienst autorisiert 
war, 

wobei der Delegationsagent die Autorisierungsanfrage 
fur den mobilen Agenten stellt, durch welche die Au to- 
ri sierungsdaten fur den mobilen Agenten unter Ver- 20 
wendung der urspriinglichen Autorisierungsdaten er- 
zeugt werden 

und wobei der mobile Agent mit den Autorisierungsda- 
ten ausgestattet wird, wobei die urspriinglichen Autori- 
sierung des Delegationsagenten auf den mobilen Agen- 25 
ten ubertragen wird. 

12. Anordnung zur Autorisierung eines mobilen 
Agenten in einem Kommunikationsnetz fur einen in 
dem Kommunikationsnetz angebotenen Dienst, 

an welche Au tori sierungs anordnung eine Autorisie- 30 
rungsanfrage zur Autorisierung des mobilen Agenten 
fur den Dienst stellbar ist, 

durch welche Autorisierungsanordnung die Autorisie- 
rungsanfrage uberprufbar ist und, wenn die Uberprti- 
fung eine Berechtigung des mobilen Agenten fur den 35 
Dienst (bzw. mindestens eines Teils des Dienstes) an- 
zeigt, Autorisierungsdaten erzeugbar sind, welche den 
mobilen Agenten fur den Dienst autorisieren und mit 
welchen der mobile Agent ausstattbar ist, andcrn falls 
keine Autorisierungsdaten erzeugbar sind. 40 

13. Autorisierungsanordnung nach Anspruch 12, ein- 
gesetzt in einem Kommunikationsnetz zur Autorisie- 
rung des mobilen Agenten in einem Kommunikations- 
netz fur den in dem Kommunikationsnetz angebotenen 
Dienst. 45 

14. Computerprogramm mit Programmcode-Mitteln, 
um alle Schritte gemaB Anspruch 1 durchzufuhren, 
wenn das Programm auf einem Computer ausgcfuhrt 
wird. 

15. Computerprogramm mit Programmcode-Mitteln 50 
gemaB Anspruch 14, die auf einem computerlesbaren 
Datentrager gespeichert sind. 

16. Computerprogramm-Produkt mit auf einem ma- 
schinenlesbaren Trager gespeicherten Programmcode- 
Mitteln, um alle Schritte gemaB Anspruch 1 durchzu- 55 
fuhren, wenn das Programm auf einem Computer aus- 
gefuhrt wird. 
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